Report Sicurezza WordPress – 28 Gennaio 2026: 118 plugin senza patch e vulnerabilità critiche
5 min di lettura
••LOUD Team
📊 Panoramica della settimana
Il report di sicurezza del 28 gennaio 2026 rivela una situazione preoccupante: 118 plugin rimangono senza patch disponibili, mentre 89 hanno ricevuto correzioni di sicurezza. WordPress Core 6.9 “Gene” non presenta nuove vulnerabilità, ma l’ecosistema dei plugin richiede attenzione immediata.
Riepilogo:
- 🔴 Vulnerabilità Critical: 15 plugin
- 🟠 Vulnerabilità High: 54 plugin
- 🟡 Vulnerabilità Medium: 138 plugin
- ✅ Plugin patchati: 89
- ⛔ Plugin non patchati: 118
🚨 Allarme rosso
Questi plugin con vulnerabilità Critical o High hanno più di 10.000 installazioni attive. Richiedono azione immediata:
Advanced Custom Fields: Extended
- Installazioni: 100.000+
- Vulnerabilità: Privilege Escalation
- CVE: 2025-14533
- ✅ Soluzione: Aggiorna alla versione 0.9.2.2
MailerLite – WooCommerce integration
- Installazioni: 30.000+
- Vulnerabilità: SQL Injection
- CVE: 2025-67945
- ✅ Soluzione: Aggiorna alla versione 3.1.3
Xpro Addons — 140+ Widgets for Elementor
- Installazioni: 30.000+
- Vulnerabilità: Arbitrary File Upload
- CVE: 2025-69312
- ✅ Soluzione: Aggiorna alla versione 1.4.20
LA-Studio Element Kit for Elementor
- Installazioni: 10.000+
- Vulnerabilità: Backdoor
- CVE: 2026-0920
- ✅ Soluzione: Aggiorna alla versione 1.6.0
Nexter Extension – Site Enhancements Toolkit
- Installazioni: 10.000+
- Vulnerabilità: PHP Object Injection
- CVE: 2026-0726
- ✅ Soluzione: Aggiorna alla versione 4.4.7
RegistrationMagic – Custom Registration Forms
- Installazioni: 9.000+
- Vulnerabilità: Privilege Escalation
- CVE: 2025-15403
- ✅ Soluzione: Aggiorna alla versione 6.0.7.2
Happy Addons for Elementor
- Installazioni: 400.000+
- Vulnerabilità: SQL Injection
- CVE: 2025-68999
- ✅ Soluzione: Aggiorna alla versione 3.20.6
Beaver Builder Page Builder
- Installazioni: 100.000+
- Vulnerabilità: Arbitrary Code Execution
- CVE: 2025-69319
- ✅ Soluzione: Aggiorna alla versione 2.9.4.2
BuddyPress
- Installazioni: 100.000+
- Vulnerabilità: Arbitrary Code Execution
- CVE: 2024-11976
- ✅ Soluzione: Aggiorna alla versione 14.3.4
User Registration & Membership
- Installazioni: 60.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-67956
- ✅ Soluzione: Aggiorna alla versione 4.4.7
Dokan: AI Powered WooCommerce Multivendor
- Installazioni: 40.000+
- Vulnerabilità: Privilege Escalation
- CVE: 2025-14977
- ✅ Soluzione: Aggiorna alla versione 4.2.5
NotificationX – FOMO, Live Sales Notification
- Installazioni: 40.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-15380
- ✅ Soluzione: Aggiorna alla versione 3.2.1
Post Grid Gutenberg Blocks – PostX
- Installazioni: 40.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-69313
- ✅ Soluzione: Aggiorna alla versione 5.0.4
Demo Importer Plus
- Installazioni: 10.000+
- Vulnerabilità: Remote Code Execution (RCE)
- CVE: 2025-14478
- ✅ Soluzione: Aggiorna alla versione 2.0.10
Recipe Card Blocks Lite
- Installazioni: 10.000+
- Vulnerabilità: SQL Injection
- CVE: 2025-14973
- ✅ Soluzione: Aggiorna alla versione 3.4.13
User Submitted Posts
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2026-0800
- ✅ Soluzione: Aggiorna alla versione 20260110
⛔ Plugin non patchati (alta priorità)
Questi plugin non hanno ancora una patch disponibile e presentano vulnerabilità critiche o gravi con installazioni significative:
Eventin – Event Manager (AI Powered)
- Installazioni: 10.000+
- Vulnerabilità: PHP Object Injection
- CVE: 2025-68047
- ❌ Stato: NESSUNA PATCH DISPONIBILE
Order Notification for WooCommerce
- Installazioni: 1.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-68018
- ❌ Stato: NESSUNA PATCH DISPONIBILE
Paid Downloads
- Installazioni: 100+
- Vulnerabilità: SQL Injection
- CVE: 2025-68857
- ❌ Stato: NESSUNA PATCH DISPONIBILE
LazyTasks – Project & Task Management
- Installazioni: 70+
- Vulnerabilità: Privilege Escalation
- CVE: 2025-68869
- ❌ Stato: NESSUNA PATCH DISPONIBILE
Coven Core
- Installazioni: N/D
- Vulnerabilità: SQL Injection
- CVE: 2025-69295
- ❌ Stato: NESSUNA PATCH DISPONIBILE
Directorist Booking
- Installazioni: N/D
- Vulnerabilità: SQL Injection
- CVE: 2026-22336
- ❌ Stato: NESSUNA PATCH DISPONIBILE
Directorist Social Login
- Installazioni: N/D
- Vulnerabilità: Privilege Escalation
- CVE: 2026-22337
- ❌ Stato: NESSUNA PATCH DISPONIBILE
Kalrav AI Agent
- Installazioni: N/D
- Vulnerabilità: Arbitrary File Upload
- CVE: 2025-13374
- ❌ Stato: NESSUNA PATCH DISPONIBILE
Nelio Content – Editorial Calendar
- Installazioni: 5.000+
- Vulnerabilità: SQL Injection
- CVE: 2026-24572
- ❌ Stato: NESSUNA PATCH DISPONIBILE
Omnipress
- Installazioni: 900+
- Vulnerabilità: Local File Inclusion
- CVE: 2026-24538
- ❌ Stato: NESSUNA PATCH DISPONIBILE
⚠️ Azione raccomandata: Se utilizzi uno di questi plugin, considera la disattivazione temporanea fino al rilascio di una patch o valuta alternative più sicure.
📋 Altri aggiornamenti importanti
Plugin con vulnerabilità di gravità Media e più di 10.000 installazioni che hanno ricevuto patch:
The Events Calendar
- Installazioni: 700.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-15043
- ✅ Aggiorna a: 6.15.13.1
Custom Fonts – Host Your Fonts Locally
- Installazioni: 300.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-14351
- ✅ Aggiorna a: 2.1.17
Newsletter – Send awesome emails
- Installazioni: 300.000+
- Vulnerabilità: Cross Site Request Forgery (CSRF)
- CVE: 2026-1051
- ✅ Aggiorna a: 9.1.1
WP Go Maps
- Installazioni: 300.000+
- Vulnerabilità: Broken Access Control
- CVE: 2026-0593
- ✅ Aggiorna a: 10.0.05
Photo Gallery by 10Web
- Installazioni: 200.000+
- Vulnerabilità: Broken Access Control
- CVE: 2026-1036
- ✅ Aggiorna a: 1.8.37
Schema & Structured Data for WP & AMP
- Installazioni: 100.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-14069
- ✅ Aggiorna a: 1.54.1
Tutor LMS – eLearning and online course
- Installazioni: 100.000+
- Vulnerabilità: Broken Access Control
- CVE: 2026-0548
- ✅ Aggiorna a: 3.9.5
LearnPress – WordPress LMS Plugin
- Installazioni: 80.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-14798
- ✅ Aggiorna a: 4.3.2.5
Koko Analytics
- Installazioni: 60.000+
- Vulnerabilità: SQL Injection
- CVE: 2026-22850
- ✅ Aggiorna a: 2.1.3
Appointment Booking Calendar
- Installazioni: 60.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-69315
- ✅ Aggiorna a: 1.6.9.17
Uncanny Automator
- Installazioni: 50.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-15522
- ✅ Aggiorna a: 7.0.0
RSS Aggregator
- Installazioni: 50.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2025-14745
- ✅ Aggiorna a: 5.0.11
NotificationX
- Installazioni: 40.000+
- Vulnerabilità: Broken Access Control
- CVE: 2026-0554
- ✅ Aggiorna a: 3.2.1
All-in-One Video Gallery
- Installazioni: 20.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-15516
- ✅ Aggiorna a: 4.7.1
Image Photo Gallery Final Tiles Grid
- Installazioni: 20.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-15466
- ✅ Aggiorna a: 3.6.10
UPI QR Code Payment Gateway
- Installazioni: 20.000+
- Vulnerabilità: Broken Access Control
- CVE: 2025-67969
- ✅ Aggiorna a: 1.6.1
Ecwid by Lightspeed Ecommerce
- Installazioni: 20.000+
- Vulnerabilità: Broken Access Control
- CVE: 2026-24580
- ❌ Stato: NESSUNA PATCH
FlatPM – Ad Manager, AdSense
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2026-0690
- ✅ Aggiorna a: 3.2.3
Head Meta Data
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2026-0608
- ✅ Aggiorna a: 20260105
WP DSGVO Tools (GDPR)
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Scripting (XSS)
- CVE: 2026-0914
- ✅ Aggiorna a: 3.1.37
weMail – Email Marketing
- Installazioni: 10.000+
- Vulnerabilità: Sensitive Data Exposure
- CVE: 2025-14348
- ✅ Aggiorna a: 2.0.8
WPO365 | LOGIN
- Installazioni: 10.000+
- Vulnerabilità: Server Side Request Forgery (SSRF)
- CVE: 2025-67961
- ✅ Aggiorna a: 40.1
GeoDirectory – WP Business Directory
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Request Forgery (CSRF)
- CVE: 2026-24549
- ❌ Stato: NESSUNA PATCH
Kama Thumbnail
- Installazioni: 10.000+
- Vulnerabilità: Cross Site Request Forgery (CSRF)
- CVE: 2026-24521
- ❌ Stato: NESSUNA PATCH
🎨 Temi WordPress
Sono state rilevate vulnerabilità in 18 temi WordPress, di cui 13 hanno ricevuto patch e 5 rimangono senza correzione:
Temi non patchati (High):
- EcoBlue – Local File Inclusion (CVE: 2026-22338)
- Enfold – Cross Site Scripting (CVE: 2025-68900)
- Listihub – Broken Access Control (CVE: 2025-69190)
- PeakShops – PHP Object Injection (CVE: 2025-69294)
- Prowess – Local File Inclusion (CVE: 2026-24531)
Temi patchati: AdForest, CarSpot, Craft, DotLife, Grand Magazine, Grand Spa, Grand Tour, Hostiko, Hoteller, PeakShops, Traveler, Werkstatt, WorkScout.
✅ Raccomandazioni finali
- Aggiorna immediatamente tutti i plugin e temi con patch disponibili
- Disattiva temporaneamente plugin critici senza patch o valuta alternative
- Implementa un Web Application Firewall (WAF) per protezione aggiuntiva
- Esegui backup completi prima di qualsiasi aggiornamento
- Monitora i log per attività sospette
- Testa gli aggiornamenti in ambiente di staging prima della produzione
⚠️ Ci sono altri 78 plugin minori con vulnerabilità rilevate. Controlla la dashboard di sicurezza del tuo sito per un elenco completo.
🔒 Promemoria: La sicurezza di WordPress dipende principalmente dall’ecosistema dei plugin. Mantieni sempre aggiornati tutti i componenti e rimuovi plugin non utilizzati o abbandonati dai loro sviluppatori.